https 被攻破了?这也太耸人听闻了,谁给看看,感觉是瞎扯

2016-12-16 20:32:23 +08:00
 Borden
恶性病毒首次攻破 HTTPS 防线 劫持搜索引擎流量牟利
http://finance.ifeng.com/a/20161216/15082802_0.shtml
3608 次点击
所在节点    分享发现
15 条回复
molinxx
2016-12-16 20:37:16 +08:00
满满的广告
文章发布人:智能抓取
wevsty
2016-12-16 20:41:14 +08:00
只是劫持了 https 链接而已
qgy18
2016-12-16 20:46:53 +08:00
我之前写过一篇《三种解密 HTTPS 流量的方法介绍》。
https://imququ.com/post/how-to-decrypt-https.html

我在文章最后写到:如果浏览器被安装恶意扩展,即使访问安全的 HTTPS 网站,提交的数据一样可以被截获。这种客户端被攻击者控制引发的安全问题,无法通过 HTTPS 来解决。

这里描述的就是这种情况,病毒入侵到浏览器端,当然是想干嘛就干嘛。
9hills
2016-12-16 20:50:54 +08:00
有机器控制权,怎么都能破, HTTPS 插一个 ca 就好了

有什么耸人听闻的
weyou
2016-12-16 21:06:11 +08:00
确实耸人听闻,让人感觉是 https 的协议被公破一样。其实相当于木马而已,能控制机器什么样的加密都无济于事。
0TSH60F7J2rVkg8t
2016-12-16 21:10:19 +08:00
标题党+瞎扯。都入侵到机器里装驱动了,还有什么不能干的?而且截图里浏览器的 https 还是红的,这如果不是自己点的忽略和继续的话,那浏览器也该扔了。
momi
2016-12-16 21:15:12 +08:00
只要不是被中间人攻破就没什么大问题,客户端的安全,得靠用户自己去把握。
zander
2016-12-16 21:17:52 +08:00
被人物理接触机器,乃至只是木马操作,和主动告诉别人也都没什么区别了吧。
tSQghkfhTtQt9mtd
2016-12-16 22:35:49 +08:00
HPKP 用户表示不懂你们在谈论什么
popu111
2016-12-16 22:37:01 +08:00
@ahhui 重点不是入侵,是流氓软件吧。。。
lhbc
2016-12-16 22:51:18 +08:00
如果 HTTPS 配置没有漏洞,真能攻破的话,可以发 n 篇顶级论文。
下次再看到类似新闻,想下上面这句,就知道咋回事了。
nfroot
2016-12-17 09:24:10 +08:00
大米饭可以安全食用啦啦啦啦!!!!!!!!!!!!

如果控制了你的饭碗,往里面投毒,会不会死?剂量够的话会的。

大米饭不安全啦!!!!!!!!

这类问题看着就无语。送你四个字,HSTS ,问题全解决,保证无劫持。
phrack
2016-12-17 11:13:02 +08:00
都懒得点进去看也知道写的啥。

想说的是,以前做木马做病毒的,现在学乖了,现在做正规产品了,产品里附加上以前的木马病毒功能,搬到台面上来搜集你信息,控制你浏览的信息。
libook
2016-12-17 21:24:28 +08:00
数学上来讲,目前 HTTPS 本身还是完全安全的。
不安全风险是与 HTTPS 本身无关的,比如中间人攻击。
wdlth
2016-12-18 13:01:04 +08:00
前几天我爸不知道安装了什么软件,加了个根证书进去,把百度给劫持了,可惜是 SHA-1 证书,被打叉了……

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/328169

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX